Re: Выполнение привелигированых команд пользователем.
Victor Wagner -> debian-russian@lists.debian.org @ Tue, 15 Dec 2015 10:35:16 +0300: >> Даже если ты никогда не работаешь в иксах удаленно (и пункт меню DE >> всегда вызывает только на локальной машине), настройка sudo - это не >> настройка иксового сеанса. Возможность нечаянно отребутить машину при >> заходе на нее по сети остается. sudo не умеет отличать сетевой вход >> от локального. VW> sudo не умеет отличать сетевой вход от локального? VW> Там же синтаксис VW> who where = (as whom) what VW> Собственно это самое where и есть способ отличить сетевой вход от VW> локального. Не сказал бы чтобы им часто пользовались, но, поскольку sshd VW> аккуратно пишет в wtmp, не вижу причин, по которым бы оно не работало. Ты пробовал? А я пробовал. Насколько я понял в результате, это не хост с которого зашли, а локальный хост. Для sudoers, общих на всю сеть. VW> Кроме того у нас есть pam_group. Который позволяет при определенных VW> способах входа в систему автоматически добавлять пользователя в VW> соответстующую группу. Ну и аналогичный по смыслу CONSOLE_GROUPS в VW> login.defs. Это вариант, да.
Re: Выполнение привелигированых команд пользователем.
Vasiliy P. Melnik -> debian-russian @ Mon, 14 Dec 2015 22:45:40 +0200: >> Я вполне намеренно держу на разных серверах разные пароли, и sudo на них >> везде парольный. Лишняя степень защиты от невнимательности. Если >> пароль не подошел, начинаешь задумываться, на каком хосте ты выполняешь >> команду :) VPM> 40 серверов ? да ладно. Сейчас с десяток. Было и 40, на ферме пароли различались суффиксами. А у десятка даже существенно разные, уже как мера безопасности от взлома.
Re:
On Mon, 14 Dec 2015 22:54:56 + (UTC) Martin Danielyanwrote: > Подскажите хороший самоучитель по Linux-у. И сайт про настройки > всяких сервисов и систем мониторинга. The Debian Administrator's Handbook https://debian-handbook.info/get/now/ -- WBR, Andrey Tataranovich
[DONE] wml://security/2015/dsa-3418.wml
Cheers! Lev Lamberov --- english/security/2015/dsa-3418.wml 2015-12-15 11:06:42.0 +0500 +++ russian/security/2015/dsa-3418.wml 2015-12-15 18:54:55.332052271 +0500 @@ -1,39 +1,40 @@ -security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопасности -Several vulnerabilities have been discovered in the chromium web browser. +В веб-браузере chromium было обнаружено несколько уязвимостей. https://security-tracker.debian.org/tracker/CVE-2015-6788;>CVE-2015-6788 -A type confusion issue was discovered in the handling of extensions. +Была обнаружена проблема с типами в коде обработки расширений. https://security-tracker.debian.org/tracker/CVE-2015-6789;>CVE-2015-6789 -cloudfuzzer discovered a use-after-free issue. +cloudfuzzer обнаружил использование указателей после освобождения памяти. https://security-tracker.debian.org/tracker/CVE-2015-6790;>CVE-2015-6790 -Inti De Ceukelaire discovered a way to inject HTML into -serialized web pages. +Инти Де Кёкелэр обнаружил способ ввода кода HTML в +сериализованные веб-страницы. https://security-tracker.debian.org/tracker/CVE-2015-6791;>CVE-2015-6791 -The chrome 47 development team found and fixed various issues -during internal auditing. Also multiple issues were fixed in -the v8 javascript library, version 4.7.80.23. +Команда разработки chrome 47 обнаружила и исправила различные проблемы +в ходе проведения внутреннего аудита. Кроме того, в библиотеке javascript v8 +версии 4.7.80.23 были исправлены многочисленные проблемы. -For the stable distribution (jessie), these problems have been fixed in -version 47.0.2526.80-1~deb8u1. +В стабильном выпуске (jessie) эти проблемы были исправлены в +версии 47.0.2526.80-1~deb8u1. -For the testing distribution (stretch), these problems will be fixed soon. +В тестируемом выпуске (stretch) эти проблемы будут исправлены позже. -For the unstable distribution (sid), these problems have been fixed in -version 47.0.2526.80-1. +В нестабильном выпуске (sid) эти проблемы были исправлены в +версии 47.0.2526.80-1. -We recommend that you upgrade your chromium-browser packages. +Рекомендуется обновить пакеты chromium-browser. # do not modify the following line
RE: файловая система для предприятия
Добрый день. Zfs поверх lvm тут и масштабируемость и снапшоты и дедупликация. -Исходное сообщение- От: "Dmitry Podkovyrkin"Отправлено: 16.12.2015 9:32 Кому: "debian-russian@lists.debian.org" Тема: файловая система для предприятия Привет всем. Работаю над задачей организации файлового хранилища для предприятия и есть куча вопросов, начиная от железа, заканчивая типом fs. Подскажите у кого как реализовано? Предприятие небольшое, около 60 рабочих станций на винде. Хранимых данных тоже немного, около 4Tb с приростом 1Tb/год. Ну почта еще около 150Gb. Вроде бы всё просто - подойдет и софтовый raid5 (можно и железный), но меня больше всего заботит вопрос масштабируемости и надежности. Основные вопросы, которые пока не знаю как решить (точнее выбираю из нескольких вариантов): Как масштабировать? 1. Можно LVM, в котором RAID, тогда вопрос добавления дисковой емкости решается просто, добавляем в LVM еще пачку дисков в raid. Но в этом решении как-то много уровней. Не слишком сложно? 2. Средствами mdadm. RAID5 прекрасно расширяется с 4 до 5,6,7 и т.д. винтов, затем fs extended и готово. Но это при больших дисках долгий процесс, поэтому лучше RAID6, но он так же прекрасно расширяется и добавить пару Tb можно легко. Как бекапить? 1. Стандартное решение с помощью tar. Например раз в неделю/месяц полный, ежедневно инкрементальный. Прирост/изменения данных небольшой, поэтому можно и раз в месяц полный, еженедельно дифференциальный, ежедневно инкрементальный. Не суть. Проблема в том, что в случае факапа данные долго развоорачивать. Всё-таки 4+Tb даже по гигабитной сетке с бекап сервера будут литься даже не один час. А остановка работы предприятия не есть хорошо. 2. rsync. На бекап сервере хранится последняя _развернутая_ копия + комплект конфигов. В случае креша основного сервера достаточно заменить конфиги и вуаля - пользователи покурили 5 минут и снова в работе. Проблема - как обеспечить восстановление данных недельной давности? В первом варианте делается, тут нет. То есть как совместить оба варианта? Есть ли такое решение чтоб бекап хранился как развернутая (не в одном tar-файле) копия горячих данных, а изменения в архиве для истории? Почта: тут всё понятно, но один вопрос. Сейчас работает Exchange, я в нём не умею, поэтому хочу dovecot+postfix. Из хитрых фишек используются только общие папки + алиасы типа "адрес такой-то означает рассылку на такой-то отдел". Общие папки можно сделать, а групповой адрес dovecot или postfix умеет? -- Dmitry Podkovyrkin email: d...@ddipp.net
Re: файловая система для предприятия
16 декабря 2015 г., 8:45 пользователь Dmitry Podkovyrkinнаписал: > zfs крутая, но в debian не поддерживается. > В смысле я знаю что можно её установить. > Как она на debian в энтерпрайзе себя ведет? > хз, когда гонял на ридхете ораклдб на зфс-е вопросов не возникало, на энтерпрайз не ставил. На энтерпрайзе у меня фря, зфс использую уже давно. Один раз остался без раздела системного - но там умерла планка памяти в серваке. Боитесь зяф - тогда лвм с десятым софтовым рейдом, винты стоят не сильно дорого, чтобы мудрить с 5,6 рейдами. Но со снапшотами в зфс-е все гораздо лучше
файловая система для предприятия
Привет всем. Работаю над задачей организации файлового хранилища для предприятия и есть куча вопросов, начиная от железа, заканчивая типом fs. Подскажите у кого как реализовано? Предприятие небольшое, около 60 рабочих станций на винде. Хранимых данных тоже немного, около 4Tb с приростом 1Tb/год. Ну почта еще около 150Gb. Вроде бы всё просто - подойдет и софтовый raid5 (можно и железный), но меня больше всего заботит вопрос масштабируемости и надежности. Основные вопросы, которые пока не знаю как решить (точнее выбираю из нескольких вариантов): Как масштабировать? 1. Можно LVM, в котором RAID, тогда вопрос добавления дисковой емкости решается просто, добавляем в LVM еще пачку дисков в raid. Но в этом решении как-то много уровней. Не слишком сложно? 2. Средствами mdadm. RAID5 прекрасно расширяется с 4 до 5,6,7 и т.д. винтов, затем fs extended и готово. Но это при больших дисках долгий процесс, поэтому лучше RAID6, но он так же прекрасно расширяется и добавить пару Tb можно легко. Как бекапить? 1. Стандартное решение с помощью tar. Например раз в неделю/месяц полный, ежедневно инкрементальный. Прирост/изменения данных небольшой, поэтому можно и раз в месяц полный, еженедельно дифференциальный, ежедневно инкрементальный. Не суть. Проблема в том, что в случае факапа данные долго развоорачивать. Всё-таки 4+Tb даже по гигабитной сетке с бекап сервера будут литься даже не один час. А остановка работы предприятия не есть хорошо. 2. rsync. На бекап сервере хранится последняя _развернутая_ копия + комплект конфигов. В случае креша основного сервера достаточно заменить конфиги и вуаля - пользователи покурили 5 минут и снова в работе. Проблема - как обеспечить восстановление данных недельной давности? В первом варианте делается, тут нет. То есть как совместить оба варианта? Есть ли такое решение чтоб бекап хранился как развернутая (не в одном tar-файле) копия горячих данных, а изменения в архиве для истории? Почта: тут всё понятно, но один вопрос. Сейчас работает Exchange, я в нём не умею, поэтому хочу dovecot+postfix. Из хитрых фишек используются только общие папки + алиасы типа "адрес такой-то означает рассылку на такой-то отдел". Общие папки можно сделать, а групповой адрес dovecot или postfix умеет? -- Dmitry Podkovyrkin email: d...@ddipp.net
Re: файловая система для предприятия
zfs надо ставить, там есть снапшоты, там есть рейды, там нет чекдиска. Ческдиск на разделе в 2 тера это очень увлекательный процесс - на полтора часа где-то. Но бекап обязательно на другую машину, хотя это обязательно для любых операционок 16 декабря 2015 г., 8:31 пользователь Dmitry Podkovyrkinнаписал: > Привет всем. > > Работаю над задачей организации файлового хранилища для предприятия и есть > куча вопросов, начиная от железа, заканчивая типом fs. > > Подскажите у кого как реализовано? > > Предприятие небольшое, около 60 рабочих станций на винде. Хранимых данных > тоже немного, около 4Tb с приростом 1Tb/год. Ну почта еще около 150Gb. > Вроде бы всё просто - подойдет и софтовый raid5 (можно и железный), но > меня больше всего заботит вопрос масштабируемости и надежности. > > Основные вопросы, которые пока не знаю как решить (точнее выбираю из > нескольких вариантов): > > Как масштабировать? > 1. Можно LVM, в котором RAID, тогда вопрос добавления дисковой емкости > решается просто, добавляем в LVM еще пачку дисков в raid. Но в этом решении > как-то много уровней. Не слишком сложно? > 2. Средствами mdadm. RAID5 прекрасно расширяется с 4 до 5,6,7 и т.д. > винтов, затем fs extended и готово. Но это при больших дисках долгий > процесс, поэтому лучше RAID6, но он так же прекрасно расширяется и добавить > пару Tb можно легко. > > Как бекапить? > 1. Стандартное решение с помощью tar. Например раз в неделю/месяц полный, > ежедневно инкрементальный. Прирост/изменения данных небольшой, поэтому > можно и раз в месяц полный, еженедельно дифференциальный, ежедневно > инкрементальный. Не суть. Проблема в том, что в случае факапа данные долго > развоорачивать. Всё-таки 4+Tb даже по гигабитной сетке с бекап сервера > будут литься даже не один час. А остановка работы предприятия не есть > хорошо. > 2. rsync. На бекап сервере хранится последняя _развернутая_ копия + > комплект конфигов. В случае креша основного сервера достаточно заменить > конфиги и вуаля - пользователи покурили 5 минут и снова в работе. Проблема > - как обеспечить восстановление данных недельной давности? В первом > варианте делается, тут нет. > То есть как совместить оба варианта? Есть ли такое решение чтоб бекап > хранился как развернутая (не в одном tar-файле) копия горячих данных, а > изменения в архиве для истории? > > Почта: > тут всё понятно, но один вопрос. Сейчас работает Exchange, я в нём не > умею, поэтому хочу dovecot+postfix. Из хитрых фишек используются только > общие папки + алиасы типа "адрес такой-то означает рассылку на такой-то > отдел". Общие папки можно сделать, а групповой адрес dovecot или postfix > умеет? > > -- > Dmitry Podkovyrkin > email: d...@ddipp.net > >
Re: файловая система для предприятия
zfs крутая, но в debian не поддерживается. В смысле я знаю что можно её установить. Как она на debian в энтерпрайзе себя ведет? 16.12.2015 11:41, Vasiliy P. Melnik пишет: zfs надо ставить, там есть снапшоты, там есть рейды, там нет чекдиска. Ческдиск на разделе в 2 тера это очень увлекательный процесс - на полтора часа где-то. Но бекап обязательно на другую машину, хотя это обязательно для любых операционок 16 декабря 2015 г., 8:31 пользователь Dmitry Podkovyrkin> написал: Привет всем. Работаю над задачей организации файлового хранилища для предприятия и есть куча вопросов, начиная от железа, заканчивая типом fs. Подскажите у кого как реализовано? Предприятие небольшое, около 60 рабочих станций на винде. Хранимых данных тоже немного, около 4Tb с приростом 1Tb/год. Ну почта еще около 150Gb. Вроде бы всё просто - подойдет и софтовый raid5 (можно и железный), но меня больше всего заботит вопрос масштабируемости и надежности. Основные вопросы, которые пока не знаю как решить (точнее выбираю из нескольких вариантов): Как масштабировать? 1. Можно LVM, в котором RAID, тогда вопрос добавления дисковой емкости решается просто, добавляем в LVM еще пачку дисков в raid. Но в этом решении как-то много уровней. Не слишком сложно? 2. Средствами mdadm. RAID5 прекрасно расширяется с 4 до 5,6,7 и т.д. винтов, затем fs extended и готово. Но это при больших дисках долгий процесс, поэтому лучше RAID6, но он так же прекрасно расширяется и добавить пару Tb можно легко. Как бекапить? 1. Стандартное решение с помощью tar. Например раз в неделю/месяц полный, ежедневно инкрементальный. Прирост/изменения данных небольшой, поэтому можно и раз в месяц полный, еженедельно дифференциальный, ежедневно инкрементальный. Не суть. Проблема в том, что в случае факапа данные долго развоорачивать. Всё-таки 4+Tb даже по гигабитной сетке с бекап сервера будут литься даже не один час. А остановка работы предприятия не есть хорошо. 2. rsync. На бекап сервере хранится последняя _развернутая_ копия + комплект конфигов. В случае креша основного сервера достаточно заменить конфиги и вуаля - пользователи покурили 5 минут и снова в работе. Проблема - как обеспечить восстановление данных недельной давности? В первом варианте делается, тут нет. То есть как совместить оба варианта? Есть ли такое решение чтоб бекап хранился как развернутая (не в одном tar-файле) копия горячих данных, а изменения в архиве для истории? Почта: тут всё понятно, но один вопрос. Сейчас работает Exchange, я в нём не умею, поэтому хочу dovecot+postfix. Из хитрых фишек используются только общие папки + алиасы типа "адрес такой-то означает рассылку на такой-то отдел". Общие папки можно сделать, а групповой адрес dovecot или postfix умеет -- Dmitry Podkovyrkin email: d...@ddipp.net
Re: файловая система для предприятия
16 декабря 2015 г., 8:43 пользователь Pavel Marchenkoнаписал: > Добрый день. Zfs поверх lvm тут и масштабируемость и снапшоты и > дедупликация. > zfs и без лвм-а себя отлично чувствует - зачем тянуть лишнее в систему
Re: файловая система для предприятия
16 декабря 2015 г., 11:51 пользователь Vasiliy P. Melnikнаписал: >> zfs крутая, но в debian не поддерживается. >> В смысле я знаю что можно её установить. >> Как она на debian в энтерпрайзе себя ведет? > хз, когда гонял на ридхете ораклдб на зфс-е вопросов не возникало, на > энтерпрайз не ставил. На энтерпрайзе у меня фря, зфс использую уже давно. > Один раз остался без раздела системного - но там умерла планка памяти в > серваке. Я остался без фс после переполнения памяти. Debian 7, zfs от zfsonlinux.org Потом тюнил, чтоб жрало меньше, выключал дедупликацию и т.п., но всё равно периодически сервер оказывался утром в состоянии нестояния (это был один из серверов бекапов с порядка 40-50 потоков записи на тот раздел). > Боитесь зяф - тогда лвм с десятым софтовым рейдом, винты стоят не сильно > дорого, чтобы мудрить с 5,6 рейдами. Но со снапшотами в зфс-е все гораздо > лучше Может быть zfs на фре и нормально работает, но под линуксом её пока рановато в продакшн. -- Stanislav
Re: файловая система для предприятия
> > Может быть zfs на фре и нормально работает, но под линуксом её пока > рановато в продакшн. > Ок, спасибо за отзыв - но на продакшин я ее таки и не собирался ставить. А под фрей хорошо работает - вопросов нет